ВСТРОЕННЫЕ группы — это исходные локальные группы первого контроллера домена в лесу (поэтому в SID стоит «32»). Хотя все группы в некотором смысле локальны для контроллеров домена, вы обнаружите, что эти группы по существу являются «общими» локальными группами контроллеров домена. За прошедшие годы было добавлено больше таких групп, специфичных для контроллера домена (например, «Разрешенная группа репликации паролей RODC»).
Примеры:
- добавление пользователя в группу BUILTIN\Remote Desktop Users предоставляет RDP-доступ к контроллерам домена.
- добавление пользователя в группу пользователей удаленного управления предоставляет WinRM
доступ к контроллерам домена
- Операторы печати? Это управление принтером на контроллерах домена (которое вам никогда не следует делать).
Это самый простой способ для меня понять. Лучший способ думать о них — как правило, вы не должны использовать эти группы ни для чего другого.
Что касается того, могут ли они быть перемещены или нет? Обычно я оставляю ВСТРОЕННЫЕ группы в покое, но если вы действительно заинтересованы в очистке, обратитесь к этому документу, какие детали для вас могут быть перемещены, но не могут быть перемещены. Обратите внимание на эту ссылку:
https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/active-director...